‫ بايدها و نبايدهاي امنيت Wi-Fi – قسمت اول

IRCAR201111120
تاريخ: 30/8/90
 
Wi-Fi بسيار مستعد هك شدن و استراق سمع است، ولي در صورتي كه شما از معيارهاي امنيتي صحيح استفاده كنيد، اين تكنولوژي نيز مي­تواند امن باشد. در اين مقاله قسمت اول از برخي بايدها و نبايدهاي امنيت Wi-Fi ارائه خواهند شد.
  1. از WEP استفاده نكنيد.
WEP (Wired Equivalent Privacy) يك الگوريتم امنيتي بسيار ضعيف براي شبكه هاي بي­سيم 802.11 است و مدت زيادي است كه از رده خارج شده است. رمزنگاري زيرين اين الگوريتم امنيتي، به سرعت و به سادگي توسط اغلب هكرهاي بي تجربه قابل شكستن است. بنابراين شما به هيچ عنوان نبايد از WEP استفاده كنيد. اما اگر اين كار را انجام مي­دهيد، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هويت 802.1X ارتقاء دهيد. اگر كلاينت­ها يا access point هاي قديمي داريد كه WPA2 را پشتيباني نمي­كنند، از ارتقاهاي سفت افزاري استفاده كرده يا به سادگي، تجهيزات خود را تغيير دهيد.
  1. از WPA/WPA2-PSK استفاده نكنيد.
مود كليد از پيش به اشتراك گذاشته شده (PSK) در امنيت WPA و WPA2 براي محيط­هاي تجاري يا شركتي امن نيست. زماني كه از اين مود استفاده مي­كنيد، كليد از پيش به اشتراك گذاشته يكساني بايد به هر كلاينت وارد گردد. بنابراين PSK بايد هربار كه كارمندي شركت را ترك مي­كند و هر زمان كه يك كلاينت گم شده يا به سرقت مي­رود، تغيير نمايد كه اين كار، براي اغلب محيط­ها انجام پذير نيست.
  1. 802.11i را پياده سازي نماييد.
مود EAP (پروتكل احراز هويت قابل توسعه) در امنيت WPA و WPA2، از احراز هويت 802.1X به جاي PSK ها استفاده مي­كند. اين كار اين قابليت را فراهم مي آورد تا هر كاربر يا هر كلاينت، اطلاعات اعتباري ورود مخصوص به خود را دارا باشد. يعني هر كاربر و هر كلاينت داراي نام­هاي كاربري و كلمات عبور و/ يا يك امضاي ديجيتالي مخصوص به خود هستند.
كليدهاي رمزنگاري واقعي، به طور منظم تغيير داده مي­شوند و بدون سر و صدا در پس زمينه جابجا مي­گردند. بنابراين براي تغيير يا ابطال دسترسي كاربر، تمام كاري كه بايد انجام دهيد اين است كه اطلاعات اعتباري ورود را بر روي يك سرور مركزي تغيير دهيد و ديگر لازم نيست PSK را بر روي هر كلاينت دستكاري نماييد. كليدهاي يكتا به ازاي هر نشست نيز كاربران را از شنود و استراق سمع بر روي ترافيك يكديگر باز مي­دارد. اكنون ابزارهاي ساده و مختلفي براي اين كار در محيط­هاي مختلف وجود دارد كه ديگران مي­توانند با استفاده از آنها، به جاي يك كاربر وارد شوند و يا ترافيك وي را شنود نمايند.
در خاطر داشته باشيد كه براي داشتن بهترين امنيت ممكن، بايد از WPA2 با 802.1X كه با عنوان 802.11i نيز شناخته مي­شود، استفاده كنيد.
براي فعال كردن احراز هويت 802.1X، نياز به اين داريد كه يك سرور RADIUS/AAA داشته باشيد. اگر شما ويندوز سرور 2008 يا نسخه هاي پس از آن را اجرا مي­كنيد، از سرور سياست شبكه (NPS)، يا سرويس احراز هويت اينترنت (IAS) در نسخه هاي سرور قديمي­تر استفاده كنيد. اگر يك سرور ويندوز را اجرا نمي­كنيد، از سرور متن باز FreeRADIUS استفاده نماييد.
شما مي­توانيد در صورت اجراي ويندوز سرور 2008 يا نسخه هاي پس از آن، تنظيمات 802.1X را از طريق سياست گروهي (Group Policy) به كلاينت­هاي متصل به دامنه اعمال نماييد. در غير اينصورت، مي­توانيد يك راه حل متفرقه براي پيكربندي كلاينت­ها به كار گيريد.
  1. تنظيمات كلاينت 802.1X را امن كنيد.
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسيب پذير است. به هر حال شما مي­توانيد با امن كردن تنظيمات EAP مربوط به هر كلاينت، به جلوگيري از اين حملات كمك نماييد. براي مثال، در تنظيمات EAP براي ويندوز، شما مي­توانيد اعتبارسنجي گواهي سرور را فعال كنيد. اين كار را مي­توانيد با انتخاب گواهي CA، مشخص كردن آدرس سرور، و غيرفعال ساختن هشدارهاي آن در مورد اعتماد كاربر به سرورهاي جديد يا گواهي­هاي CA جديد انجام دهيد.
شما همچنين مي­توانيد اين تنظيمات 802.1X را از طريق سياست گروهي (Group Policy) به كلاينت­هاي متصل به دامنه نيز اعمال كرده يا اينكه از يك راه حل متفرقه استفاده نماييد.
  1. از يك سيستم جلوگيري از نفوذ بي­سيم استفاده كنيد.
در مورد امنيت Wi-Fi هميشه اينطور نيست كه فقط با كساني كه به طور مستقيم سعي مي­كنند به شبكه دسترسي پيدا كنند، درگير شويد. براي مثال، هكرها مي­توانند access point هاي جعلي را تنظيم نمايند يا اينكه حملات انكار سرويس انجام دهند. براي كمك به تشخيص و مقابله با اين حملات، شما بايد يك سيستم جلوگيري از نفوذ بي­سيم (WIPS) پياده سازي نماييد. طراحي و روش­هاي كار WIPS ها در ميان توليد كنندگان مختلف، متفاوت است، ولي معمولا آنها امواج را مورد نظارت قرار مي­دهند، به شما هشدار مي­دهند و احتمالا access point هاي جعلي يا فعاليت­هاي خرابكارانه را متوقف مي­سازند.
توليد كنندگان تجاري زيادي هستند كه راه حل­هاي WIPS را ارائه مي­دهند. همچنين گزينه هاي متن بازي مانند Snort نيز وجود دارند.

در قسمت بعد، ساير بايدها و نبايدهاي امنيت Wi-Fi را مطالعه خواهيد كرد.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0